News (TA)

கூகுள் வெர்டெக்ஸ் ஏஐ சேவை முகவர்களில் அதிகப்படியான அனுமதிகள் இருப்பதாக நிபுணர்கள் எச்சரிக்கின்றனர்

Por Beatriz

Publicado em 16 de janeiro de 2026

Google - Charles-McClintock Wilson/shutterstock.com

Siga o Mix Vale no GoogleVeja as notícias do Mundo com destaque nas buscas do GoogleAdicionar

பாதுகாப்பு நிறுவனமான எக்ஸ்எம் சைபர், கூகுள் வெர்டெக்ஸ் ஏஐ தளத்தில் இரண்டு பாதிப்புகளை வெளிப்படுத்தியுள்ளது, இது குறைந்த சலுகைகள் உள்ள பயனர்கள் அதிக சேவை முகவர் பாத்திரங்களை அணுக அனுமதிக்கிறது. இந்தக் குறைபாடுகள் Google Cloud இன் செயற்கை நுண்ணறிவுக் கருவியின் இயல்புநிலை அமைப்புகளைப் பயன்படுத்துகின்றன. கவனிக்கப்பட்ட நடத்தை இயங்குதளத்தின் அசல் வடிவமைப்பிற்கு ஏற்ப செயல்படுவதாக கூகுள் தெரிவித்துள்ளது.

சைபர் பாதுகாப்பு வல்லுநர்கள், நிர்வகிக்கப்பட்ட AI சேவைகளை அதிகமாக நம்பியிருப்பதை இந்தச் சிக்கல் வெளிப்படுத்துகிறது. சேவை முகவர் அடையாளங்கள் செயல்பாடுகளின் செயல்பாட்டை உறுதிப்படுத்த பரந்த அனுமதிகளைப் பெறுகின்றன. அடிப்படை அணுகல் உள்ள பயனர்கள் உயர்ந்த அணுகல் டோக்கன்களைப் பெற கணினியைக் கையாளலாம்.

கிளவுட் கம்ப்யூட்டிங் சூழல்களில் ஆளுகை நடைமுறைகளை மதிப்பாய்வு செய்ய வேண்டியதன் அவசியத்தை இந்த கண்டுபிடிப்பு வலுப்படுத்துகிறது. Vertex AI ஐப் பயன்படுத்தும் நிறுவனங்கள் கூடுதல் கட்டுப்பாடுகள் இல்லாமல் உள் அச்சுறுத்தல்களால் அதிக அபாயங்களை எதிர்கொள்கின்றன.

அடையாளம் காணப்பட்ட பாதிப்புகளின் விவரங்கள்

Vertex AI உடன் தொடர்புடைய பாத்திரங்களுக்கான சலுகைகளை ஒதுக்குவதில் பாதிப்புகள் உள்ளன. சேவை முகவர்கள் என்பது Google Cloud ஆல் நிர்வகிக்கப்படும் சிறப்புக் கணக்குகள் ஆகும், அவை உள் செயல்முறைகளைச் செயல்படுத்த பயனர் ஆதாரங்களை அணுகும்.

இந்த கண்ணுக்கு தெரியாத அடையாளங்கள் தானியங்கி செயல்பாடுகளை செயல்படுத்த பரந்த திட்ட-நிலை அனுமதிகள் வழங்கப்படுகின்றன. பார்வையாளரின் பங்கிற்கு சமமான குறைந்தபட்ச அனுமதிகளைக் கொண்ட தாக்குபவர், சில நிபந்தனைகளின் கீழ் சேவை முகவர்களிடமிருந்து டோக்கன்களை மீட்டெடுக்க முடியும். இந்த செயல் திட்டத்தில் உயர்ந்த சலுகைகளைப் பயன்படுத்த அனுமதிக்கிறது.

குறைபாடுகள் நிர்வகிக்கப்பட்ட அடையாளங்களை விரிவாக்க திசையன்களாக மாற்றுகின்றன என்று எக்ஸ்எம் சைபர் விளக்கியது. பொறுப்பான வெளிப்பாட்டைத் தொடர்ந்து சேவைகள் நோக்கம் கொண்டதாக செயல்படும் என்று கூகுள் பராமரித்தது.

Google Cloud இன் அதிகாரப்பூர்வ நிலை

எக்ஸ்எம் சைபருக்கான ஆரம்ப பதிலைத் தாண்டி கூகுள் கூடுதல் கருத்தை வெளியிடவில்லை. நிறுவனம் வெர்டெக்ஸ் AI தளத்தின் வடிவமைப்பில் வேண்டுமென்றே நடத்தையை வகைப்படுத்தியது.

இயல்புநிலை அமைப்புகள் AI அம்சங்களை இப்போதே இயக்க வசதிக்காக முன்னுரிமை அளிக்கின்றன. சேவை முகவர்கள் சேவைகளுக்கு இடையே ஒருங்கிணைப்புகளை ஆதரிக்க பரந்த அணுகலுடன் பின்னணியில் செயல்படுகின்றனர்.

இந்த அணுகுமுறை நிறுவன ஆளுகை மாதிரிகளை வழங்குநரின் கட்டமைப்பிற்கு கீழ்ப்படுத்துகிறது என்று ஆய்வாளர்கள் குறிப்பிடுகின்றனர். வாடிக்கையாளர்கள் தளத்தின் உள் கூறுகளின் முழுத் தெரிவுநிலையை இழக்கின்றனர்.

உள் அச்சுறுத்தல்களுக்கான பெரிதாக்கப்பட்ட அபாயங்கள்

தீங்கிழைக்கும் உள் நபர்கள் இந்த பலவீனங்களைப் பயன்படுத்தி சாதாரணமாக அனுமதிக்கப்பட்டதைத் தாண்டி அணுகலைப் பெறலாம். சேவை முகவர்களைக் கையாளுவது வழக்கமான சந்தேகத்திற்கிடமான செயல்பாட்டு விழிப்பூட்டல்களை உருவாக்காது.

நிறுவன பாதுகாப்பு கருவிகள் நிர்வகிக்கப்படும் அடையாள நடத்தைகளை அரிதாகவே கண்காணிக்கும். இந்தக் கணக்குகளின் துஷ்பிரயோகம் முறையான இயங்குதளச் செயல்பாடுகளாகத் தோன்றும்.

AI சூழல்களில் பல சேவைகள் மற்றும் முக்கியமான தரவுத்தொகுப்புகளை அணுகும் பணிச்சுமைகள் அடங்கும். போதுமான காப்பு இல்லாததால், சமரசம் ஏற்பட்டால் தாக்க ஆரம் அதிகரிக்கிறது.

BigQuery இல் எதிர்பாராத வினவல்களைக் கண்காணித்தல்;
தரவு சேமிப்பிற்கான அங்கீகரிக்கப்படாத அணுகல்;
API அமர்வுகளில் அசாதாரண நடத்தைகள்;
ஆர்கெஸ்ட்ரேஷன் அமைப்புகளில் மாற்றங்கள்.

Vertex AI இல் முந்தைய சிக்கல்களின் சூழல்

மேடையில் இதே போன்ற குறைபாடுகளை அடையாளம் காண்பது இது முதல் அல்ல. நவம்பர் 2024 இல், பாலோ ஆல்டோ நெட்வொர்க்குகள் தனிப்பயன் வேலைகள் மற்றும் மாடல் வெளியேற்றம் மூலம் அளவிடுதலை அனுமதிக்கும் பாதிப்புகளை வெளிப்படுத்தியது.

வெளிப்படுத்திய பிறகு அந்தச் சிக்கல்களுக்கான திருத்தங்களை Google பயன்படுத்தியது. தனிப்பயன் பைப்லைன்கள் மற்றும் ஃபைன் டியூன் செய்யப்பட்ட மெஷின் லேர்னிங் மாடல்களுக்கான முறையற்ற அணுகல் ஆகியவை சிக்கல்களில் அடங்கும்.

சிறப்புரிமை தொடர்பான கருப்பொருள்களின் மறுநிகழ்வு வடிவமைப்பில் உள்ள கட்டமைப்பு வடிவங்களைப் பரிந்துரைக்கிறது. நிர்வகிக்கப்படும் AI இயங்குதளங்கள் இயல்பாகவே உள் முகவர்களுக்கு உயர்ந்த அனுமதிகளை வழங்குகின்றன.

OWASP ஏஜென்டிக் டாப் 10க்கான குறிப்புகள்

OWASP டிசம்பர் 2025 இல் முகவர் பயன்பாடுகளுக்கான டாப் 10 ஐ வெளியிட்டது. ASI03 வகை தன்னாட்சி AI அமைப்புகளில் அடையாளம் மற்றும் சலுகைகளை துஷ்பிரயோகம் செய்கிறது.

இந்த வகைப்பாடு வெர்டெக்ஸ் AI இல் காணப்படுவது போன்ற அபாயங்களை குறியாக்குகிறது. ஏஜெண்டுகளுக்குப் போதுமான அளவுக் கட்டுப்பாடுகள் இல்லாமல் கருவிகள் மற்றும் ஆதாரங்களுக்கான அணுகல் வழங்கப்படுகிறது.

பிற தொடர்புடைய வகைகளில் கருவியின் தவறான பயன்பாடு மற்றும் முகவர் விநியோகச் சங்கிலி பாதிப்புகள் ஆகியவை அடங்கும். கட்டமைப்பு ஒத்த தளங்களில் இடர் மதிப்பீட்டிற்கான ஒரு குறிப்பாக செயல்படுகிறது.

பாதுகாப்பு நிபுணர்களின் பரிந்துரைகள்

ஈடுசெய்யும் கட்டுப்பாடுகளை உடனடியாக செயல்படுத்த வல்லுநர்கள் பரிந்துரைக்கின்றனர். AI பணிச்சுமைகளுடன் தொடர்புடைய அனைத்து சேவை அடையாளங்களையும் CISOக்கள் தணிக்கை செய்ய வேண்டும்.

சேவை முகவர்களுக்கான குறிப்பிட்ட கண்காணிப்பு இந்த கணக்குகளை சலுகை பெற்ற ஊழியர்களாகக் கருதுகிறது. முறையற்ற கையாளுதலைக் குறிக்கும் வடிவங்களில் விழிப்பூட்டல்கள் கவனம் செலுத்துகின்றன.

கூறுகளுக்கு இடையில் அங்கீகாரத்தின் நோக்கத்தைக் குறைத்தல்;
வலுவான பாதுகாப்பு தடைகளை அறிமுகப்படுத்துதல்;
உணர்திறன் வளங்களின் பிரிவு;
நிலையான அனுமதிகளின் அவ்வப்போது மதிப்பாய்வு.

இந்த நடவடிக்கைகள் இயக்கச் செலவுகளை அதிகரித்தாலும், அவை வெடிப்பு ஆரத்தைக் கட்டுப்படுத்துகின்றன. நிறுவனங்கள் கண்ணுக்கு தெரியாத அடையாளங்கள் மீது பயனுள்ள கட்டுப்பாட்டுடன் வசதியை சமநிலைப்படுத்த வேண்டும்.

AI ஐப் பின்பற்றும் நிறுவனங்கள், மேகக்கணி தோரணைகளை மதிப்பாய்வு செய்து, உள் அவதானிப்புத் திறனைச் சேர்க்கின்றன. நிர்வகிக்கப்பட்ட வழங்குநர்கள் மீதான குருட்டு நம்பிக்கை நவீன சூழல்களில் முக்கியமான இடைவெளிகளை அம்பலப்படுத்துகிறது.

AI கருவிகளின் விரைவான பரிணாமம் பாதுகாப்பு உத்திகளில் நிலையான தழுவலைக் கோருகிறது. வழங்குநர்கள் மற்றும் வாடிக்கையாளர்கள் உள் கூறுகளின் பாதுகாப்பிற்கான பொறுப்பைப் பகிர்ந்து கொள்கிறார்கள்.

Taggoogle பாதுகாப்பு பாதிப்புகள், xm சைபர், உச்சி AI, சிறப்புரிமை அதிகரிப்பு, சேவை முகவர்கள், தொழில்நுட்பம்